#MicrosoftMówi: RODOentuzjaści dla RODOgotowych i RODObezradnych
Michał Jaworski
Członek Zarządu w polskim oddziale Microsoft
Na moment przed rozpoczęciem egzekwowania przepisów RODO w studio nagraniowym Microsoft spotkali się dwaj RODOentuzjaści, żeby porozmawiać o tym, co za chwilę się wydarzy. Od dłuższego czasu bardzo dużo mówi się na wszelkiego rodzaju konferencjach, w mediach, o tym, że zbliża się 25 maja i wejdą w życie poważne sankcje za zaniedbania w obszarze ochrony danych osobowych. Zaprosiłem do rozmowy Pana Piotra Welenca – Dyrektora ds. rozwoju rynku governance risk compliance, Certyfikowanego Audytora Systemów Informatycznych, Ryzyka, Cyberbezpieczeństwa i Data Governance, Wolters Kluwer Polska, aby wspólnie zastanowić się, co wydarzy się dzień po 25 maja.
RODO jest procesem, a nie celem
Zapewnienie zgodności z RODO to nie jednokrotny wysiłek zdobycia szczytu, tylko ciągła podróż na rzecz zapewnienia jak najlepszej ochrony danych osobowych w naszej organizacji. Jak napisała w swoim poniedziałkowym wpisie Julie Brill – Corporate Vice President and Deputy General Consuel, Microsoft, 25 maja to nie koniec prac Microsoft związanych z rozporządzeniem. To początek kolejnej fazy działań przy ochronie danych osobowych.. Ciągła interpretacja szczegółowych aspektów rozporządzenia określi kroki, które wszyscy będziemy musieli podjąć, aby zachować zgodność.
Julie Brill podkreśliła, że dla Microsoft prywatność jest podstawowym prawem człowieka. Ponieważ ludzie coraz częściej żyją w Internecie i coraz bardziej polegają na technologii, która pozwala im pracować, angażować się w kontakty z rodziną i przyjaciółmi, wykorzystywać możliwości rozwoju i zarządzać zdrowiem i finansami. Ochrona prawa do bezpieczeństwa informacji stała się przez to ważniejsza niż kiedykolwiek.
Prywatność jest również podstawą zaufania. Jestem przekonana – pisze dalej Julie Brill – że ludzie będą używać wyłącznie technologii, której ufają. Ostatecznie zaufanie powstaje w momencie, kiedy ludzie są pewni, że ich dane osobowe są bezpieczne i że mają jasne pojęcie o tym, w jaki sposób i dlaczego są używane. Oznacza to, że firmy ponoszą ogromną odpowiedzialność za ochronę danych osobowych, które zbierają, oraz danych, którymi zarządzają dla naszych klientów komercyjnych.
Ponad 1600 inżynierów Microsoft pracowało nad dostosowaniem rozwiązań firmy do nowych przepisów. Od momentu uchwalenia rozporządzenia RODO w 2016 r. firma poczyniła znaczne inwestycje w przeprojektowanie narzędzi, systemów i procesów, aby spełnić jego wymagania. Dzisiaj ta zgodność jest głęboko zakorzeniona w kulturze Microsoft i osadzona w procesach i praktykach, które są podstawą tego, jak budujemy i dostarczamy produkty i usługi.
RODO jest procesem dostosowania się do optymalnej ochrony i przetwarzania danych osobowych
https://www.youtube.com/watch?v=WNMq4bl3PdY&t=11s
„To, co jest najważniejsze z punktu widzenia dostawców i specjalistów od bezpieczeństwa, to uświadomienie klientom, pracownikom i odbiorcom technologii, że RODO wykracza daleko poza filozofię samego prawa. RODO jest tak naprawdę filozofią zarządzania strategicznego poprzez procesy, z których najważniejszym jest ład organizacyjny w danych, zwłaszcza w danych osobowych” – mówi Piotr Welenc, Dyrektor ds. rozwoju rynku governance risk compliance, Certyfikowany Audytor Systemów Informatycznych, Ryzyka, Cyberbezpieczeństwa i Data Governance, Wolters Kluwer Polska „RODO jest krytycznym spojrzeniem na procesy przedsiębiorstwa, które mają funkcjonować w sposób dojrzały, stabilny i uporządkowany” – dodaje Piotr Welenc.
Co nas czeka po 25 maja, czyli RODO the day after?
https://www.youtube.com/watch?v=YMMfZJsl1v4&t=2s
Rozpatrując żądania osób fizycznych, informatycy muszą być przygotowani na to, aby w każdej chwili znaleźć dane oraz odpowiednio nimi zarządzać, by je odpowiednio przygotować dla osób, które odpowiadają za komunikację pomiędzy firmą a osobą fizyczną.
„To, czego powinniśmy się spodziewać tuż po wejściu w życie RODO, to znaczne ukierunkowanie przedsiębiorstw na procesy komunikacji wewnętrznej i zewnętrznej. Prawo nakłada na przedsiębiorstwa sformalizowane obowiązki właśnie pod względem jakości komunikacji. Realizacja nadrzędnego celu RODO, jakim jest ochrona praw i wolności osób fizycznych, nie jest możliwa bez skutecznej komunikacji” – podsumowuje Piotr Welenc.
„Zgodnie z rozporządzeniem, powinniśmy patrzeć na komunikację przez pryzmat aspektu psychologicznego – spotkania się praw wolności osoby fizycznej z wewnętrznym systemem komunikacji przedsiębiorstwa (skuteczność komunikacji, jasność przekazu, możliwość dotarcia, dyspozycyjność komunikacyjna). Drugą istotną sprawą są same systemy komunikacyjne, bez których nowoczesne przedsiębiorstwa działające w dynamicznie zmieniających się warunkach (także pod względem prawnym) nie będą w stanie skutecznie funkcjonować. Umiejętne połączenie warstw twardej i miękkiej – prawa i komunikacji, warstwy kontroli ryzyka i monitorowania informacji będzie stanowiło o sukcesie lub wysokim ryzyku wdrożenia RODO” – dodaje Piotr Welenc.
Co nam grozi z tytułu uczestniczenia w procesie, jakim jest RODO?
Tematem, który również budzi dużo wątpliwości jest zgłaszanie naruszeń ochrony danych osobowych. Już samo w sobie naruszenie ma szeroką definicję, jednak co to oznacza z punktu widzenia procesów, ochrony praw i wolności osób fizycznych w firmie? Co więcej, co to oznacza z punktu widzenia szacowania ryzyka?
Cyberodliczanie do bezpieczeństwa czas zacząć
Mówiąc o RODO myślimy tak naprawdę nie tylko o cyberbezpieczeństwie, ale i o bezpieczeństwie rozumianym szerzej – rozporządzenie dotyczy także danych przetwarzanych w świecie fizycznym. Ponieważ jednak we współczesnym świecie biznesowym większość danych jest przetwarzana cyfrowo, warto skupić się na tym aspekcie ochrony informacji.
„RODO wprowadza nowe rozumienie bezpieczeństwa, które nie powinno być rozumiane jako problem typowo technologiczny. Powinno być traktowane jako problem integrujący różne cele biznesowe i warstwy bezpieczeństwa w przedsiębiorstwie, począwszy od ludzkiego, przez techniczne, prawne, operacyjne i cyberbezpieczeństwo jako szczególny rodzaj wyjścia do zagrożeń współczesnego świata. Bezpieczeństwo traktowane przez RODO jest bezpieczeństwem wieloaspektowym. Dotyka wszystkich tych danych i sytuacji, gdzie następuje styk biznesu z prawami i wolnościami osoby” – dodaje Piotr Welenc.
Więcej o zobowiązaniach Microsoft względem RODO, prywatności i zapewnienia klientom kontroli nad własnymi danymi pisze Julie Brill – Corporate Vice President and Deputy General Counsel w tekście pod linkiem Microsoft’s commitment to GDPR, privacy and putting customers in control of their own data
